config servidores, proxy y vpn
DESCRIPTION
INSTALACION XPTRANSCRIPT
Como montar un servidor web en Windows XP
Como montar un servidor web en Windows XPTutorial para instalar en Windows XP un servidor Web
En esta guia veremos como montar nuestro propio servidor de paginas web en Windows XP PRO de manera sencilla y rapida.
Primero debemos de saber que Windows XP PRO solo nos permite montar un solo servidor de paginas web y tambien un solo servidor FTP. Otra limitacion es que nos permite hasta un maximo de 10 conexiones TCP simultaneas.
Si el servidor de paginas web lo montamos para una red local solo deberemos conocer la direccion IP del ordenador en el cual instalaremos el servidor, si lo hacemos para dar servicio de paginas web a internet tendremos que tener una conexion a internet con una IP fija, esto normalmente sucede cuando nuestra conexion es del tipo de banda ancha ( por ejemplo es el caso de ADSL ).
Primero tendremos que instalar el servidor en nuestro Windows XP PRO para ello hacemos lo siguiente: vamos a INICIO -> CONFIGURACION -> PANEL DE CONTROL -> AGREGAR O QUITAR PROGRAMAS y pinchamos en "Agregar o quitar componentes de Windows"
Tendremos que seleccionar la instalacion de "Servicios de Internet Information Server o IIS", pichamos luego en detalles y veremos lo siguiente:
Veremos un poco en detalle que son todas estas opciones:
* Archivos comunes : archivos necesarios para los componentes de Internet Information Server.
* Complemento de servicios de Internet Information Server : sirve para administrar el internet informatio server.
* Documentacion : documentacion necesaria para profundizar en el funcionamiento del IIS.
* Extensiones de servidor de FrontPage2000 : estas extensiones permiten que nuestro servidor pueda incluir formularios, contadores, etc.
* Servicio de protocolo de transferencia de archivos (FTP) : solo necesario si queremos un servidor FTP.
* Servicio SMTP : Simple Mail Transfer Protocol ( SMTP ), nos permite montar un servicio de mail dentro de nuestra intranet.
* Servicio World Wide Web : necesario para poder montar nuestro servidor de paginas web.
Las opciones mas comunes para montar un servidor web son las que hemos seleccionado en la imagen anterior.
Pinchamos en aceptar y comenzara la instalacion...
Una vez que hayamos terminado la instalacion podemos ver la consola de administracion de nuestro sitio WEB o FTP. Para abrir la consola vamos a INICIO -> CONFIGURACION -> PANEL DE CONTROL -> HERRAMIENTAS ADMINISTRATIVAS y pinchamos en "Servicios de Internet Information Server", veremos la siguiente pantalla:
Vemos que la ventana tiene dos paneles ( izquierdo y derecho ), en la izquierdo seleccionamos una opcion del arbol y en la derecha veremos los detalles de la seleccion.
En la imagen podemos ver en la parte de la derecha el nombre del equipo en el que hemos instalado el servidor WEB, en nuestro caso se llama "SAURON", luego vemos si es un equipo local y la version del Internet Information Server que estamos usando.
Por defecto el nombre de nuestro sitio WEB es "Sitio Web Predeterminado" podremos cambiar el nombre en cualquier momento, simplemente pichamos dos veces en "Sitio Web predeterminado" y podremos modificarlo.
Ahora veremos algunas de las opciones mas genereales para poder montar una servidor de pagina WEB. Hacemos click con el boton derecho sobre "Sitio Web Predeterminado" y seleccionamos "Propiedades".
Veremos la siguiente ventana:
Aqui explicaremos algunas de las opciones:Descripcion: podremos poner una breve descripcion de nuestro sitio web.
Direccion IP: aqui colocaremos la direccion IP del ordenador que hara de servidor WEB, si estamos en una intranet ( red local ) la IP asignada al ordenador dentro de la red, si tenemos una conexion a internet con una direccion IP Publica ( ADSL, etc ) aqui la colocaremos.
Puerto TCP: el puerto: que queremos que sea el que responda a las peticiones de los visitantes, por norma el puerto a usar para paginas web es el 80.
El resto de opcion las dejaremos como estan.
Ahora veremos la pestaa de "Directorio particular":
Un directorio particular de estae equipo: aqui especificamos el directorio que contendra nuestra pagina web en el ordenador.
Un recurso compartido de otro equipo: podremos seleccionar un recurso compartido que se encuentre dentro de nuestra red y que sera el que contendra nuestra pagina web.
Un redireccion a un direccion URL: con este metodo podremos redireccionar a otro sitio las peticiones que se haga a nuestra web.
Ruta de acceso local ( disponible solo con la opcion de "Un directorio particular de estae equipo" ), selecionamos el directorio que utilizaremos.
Directorio de Red ( disponible solo con la opcion de "Un recurso compartido de otro equipo" ), el directorio compartido del equipo remoto.
Luego podremos dar permisos de Lectura, escritura, examinar directorios, etc por parte del visitante.
Otra opcion interesante a seleccionar es la de "Registrar visitas".
Veremos la pestaa de "Documentos"
En Habilitar documento predeterminado especificamos en su ventana cual sera el documento que el servidor abrira al ingresar un usuario en nuestra web. Este documento es el de inicio de nuestra web, el que primero se abre y que no depende del usuario
Con esto hemos terminado lo configuracion basica para montar nuestro primer servidor de paginas web.
Algunos consejos utlies:
Tener un Antivirus con las ultimas actualizaciones en el ordenador que dara servicios de paginas web.
Es altamente recomendable que utilicemos un cortafuegos para evitar visitas no deseadas ya que al tener el servidor constantemente encendido y conectado a internet/intranet puede ser objeto de ataques.
Conviene dar permisos de Lectura pero no asi de Escritura o Examinar directorio para evitar que nos dejen programas o aplicaciones no deseadas, que pueden en algunos casos ejecutarse para recolectar infomacion privada.
Ver el archivo de registros de visitas para ver que secciones de nuestra web son las mas visitadas y cuales no lo son y asi mejorarlas. Para ver este archivo es tan facil como abrir con un editor de texto lo que veamos en la siguiente direccion de nuestro ordenador \WINDOWS\System32\LogFiles. Para que esto funcione tenemos que activarlo en la pestaa de "Sitio Web" ( en propiedades de nuestro sitio web )
Y dejamos el formato en "Formato de archivo de registro extendido W3C". Podemos configurar este registro segun nuestas exigencias, pichamos en "porpiedades".
En periodo de registro daremos la frecuencia con la cual se creara un nuevo registro de visitas a nuestra pagina. Tambien podemos cambiar la ubicacion donde se guardaran los registros.
En la pestaa de "Propiedades extendidas":
podremos seleccionar que tipo de informacion guardara el archivo de registro de cada visitante.
Con estas recomendaciones hemos terminado de montar de forma general nuestro servidor de paginas web.
Configuracin del servidor SMTP de Windows XP Profesional
Muchos de nosotros ltimamente estamos teniendo problemas con el servicio de correo saliente de nuestro proveedor de servicios de Internet, por lo que no podemos enviar correo. Con este articulo configuraremos el servicio virtual SMTP que nos ofrece Windows XP en su versin Profesional (La versin HOME no incluye este servicio). Antes de empezar a configurar el servicio que nos ofrece Windows, nos daremos de alta en algn servidor que nos ofrezca un dominio DNS. Esto ser muy til sobretodo para aquellos que no tienen una IP fija. En este caso nos daremos de alta en servicio que nos ofrece "DNS2Go" http://dns2go.deerfield.com// pero tenis una lista de otros proveedores en la pgina de la Asociacin de Internautas http://www.internautas.org/curso_servidores/
Dndonos de alta en el servicio de dominio
Nos vamos a la pgina de "DNS2Go". Es sencillo darnos de alta, pero para torpes o gente que se entiende poco con el ingls doy los pasos que se dan para darse de alta. Damos a "Signup":
1) What type of domain would you like to signup DNS2Go service with? Seleccionaremos: DNS2Go Domain Name (e.g. you.dns2go.com)
2) Aqu seleccionaremos el tipo de dominio que queremos de los que nos ofrece y el nombre de subdominio que queramos dar. Quedando mas o menos de esta forma:
subdominio.dominio.com
En esta ocasin yo lo registrare con el subdominio "ctsg" y con uno de los dominio que nos ofrece el servicio "d2g.com" y damos al botn "next".
3) Llegados ha este punto nos sale un formulario en el que nos solicita datos personales. Los que estn precedidos con un "*" son de obligado cumplimiento. (Cada cual es libre de poner lo que quiera pero la direccion de correo debe de ser buena ya que nos envia una clave y los datos correspondiente sobre el registro). Una vez cumplimentado aceptamos el contrato si estamos de acuerdo con los trminos y damos al botn "Register Now!" 4) El siguiente paso es: "Indicate desired DNS2Go Domain Type:" Dejaremos por defecto el que nos aparece marcado: "Free Non-Commercial" y seguimos dndole al botn "next". 5) Nos dan la bienvenida y nos ofrece servicios complementarios de pago: "Welcome to DNS2Go Value Added Services." Como no nos interesa dejamos la opcin que nos sale por defecto y le damos a "next"
6) En esta parte nos dan las gracias y nos indica que nuestro dominio estar activado en 10 minutos aproximadamente. Tambin nos da un enlace para que nos descarguemos el programa que comunicara al servidor en todo momento cual es nuestra IP. "If you haven't downloadedthe DNS2Go Client yet, we encourage you to do so now." Para ahorraros unos pasos, aqu teneis el enlace del programa directamente: ftp://ftp1.deerfield.com/pub/current/d2gsetup.exe
7) Ahora solo nos queda instalarlo. Es sencillo, ejecutamos el programa descargado y le damos a "next" hasta que finalice. Se nos abre el programa y le damos a "OK" nos pide el nombre de dominio que hemos registrado y el key de registro. Esto ltimo nos lleva por correo electrnico de ah la importancia de que la direccin de correo que pongamos sea buena. Aplicamos y aceptamos. Ahora ya tenemos un nombre de dominio y nos vale para cualquier servicio que queramos tener en nuestro ordenador: ftp, http, smtp, etc
Instalacin y configuracin del servidor SMTP
Muchas personas desconocemos que desde la familia Windows 2000 desde la profesional hasta los servidores, tiene un servicio llamado IIS (Servicios de Internet Information Server). Nos ofrece tener un servidor FTP, HTTP y SMTP.
Windows no instala por defecto el "IIS" por lo que nos tocara instalarlo. Nos vamos a "Inicio", "Panel de Control", "Agregar o quitar programas", "Agregar o quitar componentes de Windows" y marcamos la casilla "Servicios de Internet Information Server (IIS)" (Nos pedir el CD de "Windows XP") Una vez finalizada la instalacin, iremos cerrando ventanas hasta llegar nuevamente al "Panel de Control". Aqu nos vamos a "Herramientas administrativas" y luego a "Servicios de Internet Information Server".
Se nos abre una vitrina. Si desplegamos dando al "+" que tenemos antecediendo al nombre de nuestro equipo vemos que tenemos dos servicios instalados. El de "Sitio Web" y el "Servidor virtual SMTP". Como el primero no nos interesa y dado que Windows por defecto cuando instalamos el IIS pone todos los servicios en marcha desplegaremos "Sitio Web" y seleccionaremos "Sitio Web predeterminado" damos al botn derecho del ratn y damos a "Detener" (Esto solo es para aquellos que no quieran utilizarlo).
Empezamos a configurar el Servidor virtual SMTP, para ello lo seleccionamos, botn derecho, "Propiedades". Nos encontraremos en la pestaa general. Si tenemos una IP fija en Direccin IP seleccionaremos. Ojo si tenemos IP Dinmica dejaremos la "Direccin IP" en "Todos sin asignar". Si queremos cambiar el puerto del SMTP que por defecto es el 25 le damos al botn "Avanzada" y lo modificaremos.
Continuamos con la siguiente pestaa "Acceso". Damos al botn "Conexin". Por defecto aparece marcado "Todos excepto los de la lista siguiente". Si solo quieres el servidor para tu maquina y tu red interna, selecciona "Slo los de la lista siguiente". En "Agregar" Escribimos nuestra IP fija y le damos a "Aceptar". Si lo que queremos aadir es un equipo que tenemos en red, el paso es el mismo, pero seleccionaremos "Grupo de equipos" y le daremos los datos que nos solicita. Al volver cuadro de "Conexin" vemos que Direccin IP tienen permiso para acceder al servicio. Si tu IP es dinmica, djalo tal cual esta por defecto (no hay que aadir ninguna IP). Seguimos en la pestaa "Acceso" pero en esta ocasin nos iremos al botn "Retransmisin". Aqu agregaremos las mismas IPs que en el apartado "Conexin" y dejaremos por defecto "Solo los de la lista siguiente". Si tu IP es dinmica, selecciona "Todos excepto los de la lista siguiente" (no hay que aadir ninguna IP). Esto nos evitara el que desaprensivos nos coja el servidor SMTP y se aprovechen de hacer SPAM. Continuamos en la pestaa "Mensajes" aqu podemos modificar el tamao mximo en Kb de los mensajes, yo los dejo por defecto. Quien necesite aumentarlos solo hay que cambiar los nmeros a mayor. Ms abajo deberemos de indicar un correo Valido si queremos saber de los correos que no son entregados. Pestaa "Entrega", aqu esta los reintentos de envos de correo, notificaciones de retraso, etc esto es sencillo y no veo que necesite explicacin. Tambin los dejo por defecto. Ms abajo vemos tres botones. "Seguridad saliente" en este punto no he profundizado ni realizado pruebas. Pero es para poner nombre de usuario y contrasea al servidor de correo saliente. Seguimos con el botn "Avanzada". Aqu pondremos en "Dominio de enmascaramiento" y "Host inteligente" el dominio que hemos dado de alta en "DNS2Go" y marcaremos las dos casillas de verificacin que tenemos mas abajo: "Intentar la entrega directa antes de enviar al host inteligente" y "Realizar consulta de DNS inversa en los mensajes entrantes". Damos ha "Aceptar" y "Aplicar" todo. Cerramos todas las ventanas ya tenemos configurado nuestro servidor SMTP. Solo nos queda configurar en nuestro gestor de correo, el servidor de correo saliente de nuestras cuentas de correo. Pondremos lo siguiente:
Ejemplo: ctsg.d2g.com = BIEN
subdominio.dominio.com = BIEN
smtp.ctsg.d2g.com = MAL
smtp.subdominio.dominio.com = MALLINUX CONFIG SQUID
Qu es Servidor Intermediario (Proxy)?
El trmino en ingles Proxy tiene un significado muy general y al mismo tiempo ambiguo, aunque invariablemente se considera un sinnimo del concepto de Intermediario. Se suele traducir, en el sentido estricto, como delegado o apoderado (el que tiene el que poder sobre otro).
Un Servidor Intermediario (Proxy) se define como una computadora o dispositivo que ofrece un servicio de red que consiste en permitir a los clientes realizar conexiones de red indirectas hacia otros servicios de red. Durante el proceso ocurre lo siguiente:
Cliente se conecta hacia un Servidor Intermediario (Proxy).
Cliente solicita una conexin, fichero u otro recurso disponible en un servidor distinto.
Servidor Intermediario (Proxy) proporciona el recurso ya sea conectndose hacia el servidor especificado o sirviendo ste desde un cach.
En algunos casos el Servidor Intermediario (Proxy) puede alterar la solicitud del cliente o bien la respuesta del servidor para diversos propsitos.
Los Servidores Intermediarios (Proxies) generalmente se hacen trabajar simultneamente como muro cortafuegos operando en el Nivel de Red, actuando como filtro de paquetes, como en el caso de iptables, o bien operando en el Nivel de Aplicacin, controlando diversos servicios, como es el caso de TCP Wrapper. Dependiendo del contexto, el muro cortafuegos tambin se conoce como BPD o Border Protection Device o simplemente filtro de paquetes.
Una aplicacin comn de los Servidores Intermediarios (Proxies) es funcionar como cach de contenido de Red (principalmente HTTP), proporcionando en la proximidad de los clientes un cach de pginas y ficheros disponibles a travs de la Red en servidores HTTP remotos, permitiendo a los clientes de la red local acceder hacia stos de forma ms rpida y confiable.
Cuando se recibe una peticin para un recurso de Red especificado en un URL (Uniform Resource Locator) el Servidor Intermediario busca el resultado del URL dentro del cach. Si ste es encontrado, el Servidor Intermediario responde al cliente proporcionado inmediatamente el contenido solicitado. Si el contenido solicitado no estuviera disponible en el cach, el Servidor Intermediario lo traer desde servidor remoto, entregndolo al cliente que lo solicit y guardando una copia en el cach. El contenido en el cach es eliminado luego a travs de un algoritmo de expiracin de acuerdo a la antigedad, tamao e historial de respuestas a solicitudes (hits) (ejemplos: LRU, LFUDA y GDSF).
Los Servidores Intermediarios para contenido de Red (Web Proxies) tambin pueden actuar como filtros del contenido servido, aplicando polticas de censura de acuerdo a criterios arbitrarios.
Acerca de Squid.
Squid es un Servidor Intermediario (Proxy) de alto desempeo que se ha venido desarrollando desde hace varios aos y es hoy en da un muy popular y ampliamente utilizado entre los sistemas operativos como GNU/Linux y derivados de Unix. Es muy confiable, robusto y verstil y se distribuye bajo los trminos de la Licencia Pblica General GNU (GNU/GPL). Siendo sustento lgico libre, est disponible el cdigo fuente para quien as lo requiera.
Entre otras cosas, Squid puede funcionar como Servidor Intermediario (Proxy) y cach de contenido de Red para los protocolos HTTP, FTP, GOPHER y WAIS, Proxy de SSL, cach transparente, WWCP, aceleracin HTTP, cach de consultas DNS y otras muchas ms como filtracin de contenido y control de acceso por IP y por usuario.
Squid consiste de un programa principal como servidor, un programa para bsqueda en servidores DNS, programas opcionales para reescribir solicitudes y realizar autenticacin y algunas herramientas para administracin y y herramientas para clientes. Al iniciar Squid da origen a un nmero configurable (5, de modo predefinido a travs del parmetro dns_children) de procesos de bsqueda en servidores DNS, cada uno de los cuales realiza una bsqueda nica en servidores DNS, reduciendo la cantidad de tiempo de espera para las bsquedas en servidores DNS.
NOTA ESPECIAL: Squid no debe ser utilizado como Servidor Intermediario (Proxy) para protocolos como SMTP, POP3, TELNET, SSH, IRC, etc. Si se requiere intermediar para cualquier protocolo distinto a HTTP, HTTPS, FTP, GOPHER y WAIS se requerir implementar obligatoriamente un enmascaramiento de IP o NAT (Network Address Translation) o bien hacer uso de un servidor SOCKS como Dante (http://www.inet.no/dante/).
URL: http://www.squid-cache.org/Algoritmos de cach utilizados por Squid.
A travs de un parmetro (cache_replacement_policy) Squid incluye soporte para los siguientes algoritmos para el cach:
LRUAcrnimo de Least Recently Used, que traduce como Menos Recientemente Utilizado. En este algoritmo los objetos que no han sido accedidos en mucho tiempo son eliminados primero, manteniendo siempre en el cach a los objetos ms recientemente solicitados. sta poltica es la utilizada por Squid de modo predefinido.
LFUDAAcrnimo de Least Frequently Used with Dynamic Aging, que se traduce como Menos Frecuentemente Utilizado con Envejecimiento Dinmico. En este algoritmo los objetos ms solicitados permanecen en el cach sin importar su tamao optimizando la eficiencia (hit rate) por octetos (Bytes) a expensas de la eficiencia misma, de modo que un objeto grande que se solicite con mayor frecuencia impedir que se pueda hacer cach de objetos pequeos que se soliciten con menor frecuencia.
GDSFAcrnimo de GreedyDual Size Frequency, que se traduce como Frecuencia de tamao GreedyDual (codicioso dual), que es el algoritmo sobre el cual se basa GDSF. Optimiza la eficiencia (hit rate) por objeto manteniendo en el cach los objetos pequeos ms frecuentemente solicitados de modo que hay mejores posibilidades de lograr respuesta a una solicitud (hit). Tiene una eficiencia por octetos (Bytes) menor que el algoritmo LFUDA debido a que descarta del cach objetos grandes que sean solicitado con frecuencia.
Sustento lgico necesario.
Para poder llevar al cabo los procedimientos descritos en este manual y documentos relacionados, usted necesitar tener instalado al menos lo siguiente:
Al menos squid-2.5.STABLE6
httpd-2.0.x (Apache), como auxiliar de cach con aceleracin.
Todos los parches de seguridad disponibles para la versin del sistema operativo que est utilizando. No es conveniente utilizar un sistema con posibles vulnerabilidades como Servidor Intermediario.
Debe tomarse en consideracin que, de ser posible, se debe utilizar siempre las versiones estables ms recientes de todo sustento lgico que vaya a ser instalado para realizar los procedimientos descritos en este manual, a fin de contar con los parches de seguridad necesarios. Ninguna versin de Squid anterior a la 2.5.STABLE6 se considera como apropiada debido a fallas de seguridad de gran importancia.
Squid no se instala de manera predeterminada a menos que especifique lo contrario durante la instalacin del sistema operativo, sin embargo viene incluido en casi todas las distribuciones actuales. El procedimiento de instalacin es exactamente el mismo que con cualquier otro sustento lgico.
Instalacin a travs de yum.
Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones posteriores, utilice lo siguiente y se instalar todo lo necesario junto con sus dependencias:
yum -y install squid httpd
Instalacin a travs de up2date.
Si cuenta con un sistema con Red Hat Enterprise Linux 3 o versiones posteriores, utilice lo siguiente y se instalar todo lo necesario junto con sus dependencias:
up2date -i squid httpd
Otros componentes necesarios.
El mandato iptables se utilizar para generar las reglas necesarias para el guin de Enmascaramiento de IP. Se instala de modo predefinido en todas las distribuciones actuales que utilicen ncleo (kernel) versiones 2.4 y 2.6.
Es importante tener actualizado el ncleo del sistema operativo por diversas cuestiones de seguridad. No es recomendable utilizar versiones del kernel anteriores a la 2.4.21. Actualice el ncleo a la versin ms reciente disponible para su distribucin.
Si cuenta con un sistema con CentOS o White Box Enterprise Linux 3 o versiones posteriores, utilice lo siguiente para actualizar el ncleo del sistema operativo e iptables, si acaso fuera necesario:
yum -y update kernel iptables
Si cuenta con un sistema con Red Hat Enterprise Linux 3 o versiones posteriores, utilice lo siguiente para actualizar el ncleo del sistema operativo, e iptables si acaso fuera necesario:
up2date -u kernel iptables
Antes de continuar.
Tenga en cuenta que este manual ha sido comprobado varias veces y ha funcionado en todos los casos y si algo no funciona solo significa que usted no lo ley a detalle y no sigui correctamente las indicaciones.
Evite dejar espacios vacos en lugares indebidos. El siguiente es un ejemplo de como no se debe habilitar un parmetro.
Mal
# Opcin incorrectamente habilitada
http_port 3128
El siguiente es un ejemplo de como si se debe habilitar un parmetro.
Bien
# Opcin correctamente habilitada
http_port 3128
Configuracin bsica.
Squid utiliza el fichero de configuracin localizado en /etc/squid/squid.conf, y podr trabajar sobre este utilizando su editor de texto simple preferido. Existen un gran nmero de parmetros, de los cuales recomendamos configurar los siguientes:
http_port
cache_dir
Al menos una Lista de Control de Acceso
Al menos una Regla de Control de Acceso
httpd_accel_host
httpd_accel_port
httpd_accel_with_proxy
Parmetro http_port: Que puerto utilizar para Squid?
De acuerdo a las asignaciones hechas por IANA y continuadas por la ICANN desde el 21 de marzo de 2001, los Puertos Registrados (rango desde 1024 hasta 49151) recomendados para Servidores Intermediarios (Proxies) pueden ser el 3128 y 8080 a travs de TCP.
De modo predefinido Squid utilizar el puerto 3128 para atender peticiones, sin embargo se puede especificar que lo haga en cualquier otro puerto disponible o bien que lo haga en varios puertos disponibles a la vez.
En el caso de un Servidor Intermediario (Proxy) Transparente, regularmente se utilizar el puerto 80 o el 8000 y se valdr del re-direccionamiento de peticiones de modo tal que no habr necesidad alguna de modificar la configuracin de los clientes HTTP para utilizar el Servidor Intermediario (Proxy). Bastar con utilizar como puerta de enlace al servidor. Es importante recordar que los Servidores HTTP, como Apache, tambin utilizan dicho puerto, por lo que ser necesario volver a configurar el servidor HTTP para utilizar otro puerto disponible, o bien desinstalar o desactivar el servidor HTTP.
Hoy en da puede no ser del todo prctico el utilizar un Servidor Intermediario (Proxy) Transparente, a menos que se trate de un servicio de Caf Internet u oficina pequea, siendo que uno de los principales problemas con los que lidian los administradores es el mal uso y/o abuso del acceso a Internet por parte del personal. Es por esto que puede resultar ms conveniente configurar un Servidor Intermediario (Proxy) con restricciones por clave de acceso, lo cual no puede hacerse con un Servidor Intermediario (Proxy) Transparente, debido a que se requiere un dilogo de nombre de usuario y clave de acceso.
Regularmente algunos programas utilizados comnmente por los usuarios suelen traer de modo predefinido el puerto 8080 (servicio de cacheo WWW) para utilizarse al configurar que Servidor Intermediario (Proxy) utilizar. Si queremos aprovechar esto en nuestro favor y ahorrarnos el tener que dar explicaciones innecesarias al usuario, podemos especificar que Squid escuche peticiones en dicho puerto tambin. Siendo as localice la seccin de definicin de http_port, y especifique:
#
# You may specify multiple socket addresses on multiple lines.
#
# Default: http_port 3128
http_port 3128
http_port 8080
Si desea incrementar la seguridad, puede vincularse el servicio a una IP que solo se pueda acceder desde la red local. Considerando que el servidor utilizado posee una IP 192.168.1.254, puede hacerse lo siguiente:
#
# You may specify multiple socket addresses on multiple lines.
#
# Default: http_port 3128
http_port 192.168.1.254:3128
http_port 192.168.1.254:8080
Parmetro cache_mem.
El parmetro cache_mem establece la cantidad ideal de memoria para lo siguiente:
Objetos en trnsito.
Objetos frecuentemente utilizados (Hot).
Objetos negativamente almacenados en el cach.
Los datos de estos objetos se almacenan en bloques de 4 Kb. El parmetro cache_mem especifica un lmite mximo en el tamao total de bloques acomodados, donde los objetos en trnsito tienen mayor prioridad. Sin embargo los objetos Hot y aquellos negativamente almacenados en el cach podrn utilizar la memoria no utilizada hasta que esta sea requerida. De ser necesario, si un objeto en trnsito es mayor a la cantidad de memoria especificada, Squid exceder lo que sea necesario para satisfacer la peticin.
De modo predefinido se establecen 8 MB. Puede especificarse una cantidad mayor si as se considera necesario, dependiendo esto de los hbitos de los usuarios o necesidades establecidas por el administrador.
Si se posee un servidor con al menos 128 MB de RAM, establezca 16 MB como valor para este parmetro:
cache_mem 16 MB
Parmetro cache_dir: Cuanto desea almacenar de Internet en el disco duro?
Este parmetro se utiliza para establecer que tamao se desea que tenga el cach en el disco duro para Squid. Para entender esto un poco mejor, responda a esta pregunta: Cuanto desea almacenar de Internet en el disco duro? De modo predefinido Squid utilizar un cach de 100 MB, de modo tal que encontrar la siguiente lnea:
cache_dir ufs /var/spool/squid 100 16 256
Se puede incrementar el tamao del cach hasta donde lo desee el administrador. Mientras ms grande sea el cach, ms objetos se almacenarn en ste y por lo tanto se utilizar menos el ancho de banda. La siguiente lnea establece un cach de 700 MB:
cache_dir ufs /var/spool/squid 700 16 256
Los nmeros 16 y 256 significan que el directorio del cach contendr 16 directorios subordinados con 256 niveles cada uno. No modifique esto nmeros, no hay necesidad de hacerlo.
Es muy importante considerar que si se especifica un determinado tamao de cach y ste excede al espacio real disponible en el disco duro, Squid se bloquear inevitablemente. Sea cauteloso con el tamao de cach especificado.
Parmetro ftp_user.
Al acceder a un servidor FTP de manera annima, de modo predefinido Squid enviar como clave de acceso Squid@. Si se desea que el acceso annimo a los servidores FTP sea ms informativo, o bien si se desea acceder a servidores FTP que validan la autenticidad de la direccin de correo especificada como clave de acceso, puede especificarse la direccin de correo electrnico que uno considere pertinente.
ftp_user [email protected]
Controles de acceso.
Es necesario establecer Listas de Control de Acceso que definan una red o bien ciertas mquinas en particular. A cada lista se le asignar una Regla de Control de Acceso que permitir o denegar el acceso a Squid. Procedamos a entender como definir unas y otras.
Listas de control de acceso.
Regularmente una lista de control de acceso se establece con la siguiente sintaxis:
acl [nombre de la lista] src [lo que compone a la lista]
Si se desea establecer una lista de control de acceso que abarque a toda la red local, basta definir la IP correspondiente a la red y la mscara de la sub-red. Por ejemplo, si se tiene una red donde las mquinas tienen direcciones IP 192.168.1.n con mscara de sub-red 255.255.255.0, podemos utilizar lo siguiente:
acl miredlocal src 192.168.1.0/255.255.255.0
Tambin puede definirse una Lista de Control de Acceso especificando un fichero localizado en cualquier parte del disco duro, y la cual contiene una lista de direcciones IP. Ejemplo:
acl permitidos src "/etc/squid/permitidos"
El fichero /etc/squid/permitidos contendra algo como siguiente:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40
Lo anterior estara definiendo que la Lista de Control de Acceso denominada permitidos estara compuesta por las direcciones IP incluidas en el fichero /etc/squid/permitidos.
Reglas de Control de Acceso.
Estas definen si se permite o no el acceso hacia Squid. Se aplican a las Listas de Control de Acceso. Deben colocarse en la seccin de reglas de control de acceso definidas por el administrador, es decir, a partir de donde se localiza la siguiente leyenda:
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
La sintaxis bsica es la siguiente:
http_access [deny o allow] [lista de control de acceso]
En el siguiente ejemplo consideramos una regla que establece acceso permitido a Squid a la Lista de Control de Acceso denominada permitidos:
http_access allow permitidos
Tambin pueden definirse reglas valindose de la expresin !, la cual significa no. Pueden definirse, por ejemplo, dos listas de control de acceso, una denominada lista1 y otra denominada lista2, en la misma regla de control de acceso, en donde se asigna una expresin a una de estas. La siguiente establece que se permite el acceso a Squid a lo que comprenda lista1 excepto aquello que comprenda lista2:
http_access allow lista1 !lista2
Este tipo de reglas son tiles cuando se tiene un gran grupo de IP dentro de un rango de red al que se debe permitir acceso, y otro grupo dentro de la misma red al que se debe denegar el acceso.
Aplicando Listas y Reglas de control de acceso.
Una vez comprendido el funcionamiento de la Listas y las Regla de Control de Acceso, procederemos a determinar cuales utilizar para nuestra configuracin.
Caso 1.
Considerando como ejemplo que se dispone de una red 192.168.1.0/255.255.255.0, si se desea definir toda la red local, utilizaremos la siguiente lnea en la seccin de Listas de Control de Acceso:
acl todalared src 192.168.1.0/255.255.255.0
Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar ms o menos del siguiente modo:
Listas de Control de Acceso: definicin de una red local completa#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl todalared src 192.168.1.0/255.255.255.0
A continuacin procedemos a aplicar la regla de control de acceso:
http_access allow todalared
Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o menos de este modo:
Reglas de control de acceso: Acceso a una Lista de Control de Acceso.#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
http_access allow todalaredhttp_access deny all
La regla http_access allow todalared permite el acceso a Squid a la Lista de Control de Acceso denominada todalared, la cual est conformada por 192.168.1.0/255.255.255.0. Esto significa que cualquier mquina desde 192.168.1.1 hasta 192.168.1.254 podr acceder a Squid.
Caso 2.
Si solo se desea permitir el acceso a Squid a ciertas direcciones IP de la red local, deberemos crear un fichero que contenga dicha lista. Genere el fichero /etc/squid/listas/redlocal, dentro del cual se incluirn solo aquellas direcciones IP que desea confirmen la Lista de Control de acceso. Ejemplo:
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.15
192.168.1.16
192.168.1.20
192.168.1.40
Denominaremos a esta lista de control de acceso como redlocal:
acl redlocal src "/etc/squid/listas/redlocal"
Habiendo hecho lo anterior, la seccin de listas de control de acceso debe quedar ms o menos del siguiente modo:
Listas de Control de Acceso: definicin de una red local completa#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src "/etc/squid/listas/redlocal"
A continuacin procedemos a aplicar la regla de control de acceso:
http_access allow redlocal
Habiendo hecho lo anterior, la zona de reglas de control de acceso debera quedar ms o menos de este modo:
Reglas de control de acceso: Acceso a una Lista de Control de Acceso.#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
http_access allow redlocalhttp_access deny all
La regla http_access allow redlocal permite el acceso a Squid a la Lista de Control de Acceso denominada redlocal, la cual est conformada por las direcciones IP especificadas en el fichero /etc/squid/listas/redlocal. Esto significa que cualquier mquina no incluida en /etc/squid/listas/redlocal no tendr acceso a Squid.
Parmetro chache_mgr.
De modo predefinido, si algo ocurre con el cach, como por ejemplo que muera el procesos, se enviar un mensaje de aviso a la cuenta webmaster del servidor. Puede especificarse una distinta si acaso se considera conveniente.
cache_mgr [email protected]
Parmetro cache_peer: caches padres y hermanos.
El parmetro cache_peer se utiliza para especificar otros Servidores Intermediarios (Proxies) con cach en una jerarqua como padres o como hermanos. Es decir, definir si hay un Servidor Intermediario (Proxy) adelante o en paralelo. La sintaxis bsica es la siguiente:
cache_peer servidor tipo http_port icp_port opciones
Ejemplo: Si su cach va a estar trabajando detrs de otro servidor cache, es decir un cach padre, y considerando que el cach padre tiene una IP 192.168.1.1, escuchando peticiones HTTP en el puerto 8080 y peticiones ICP en puerto 3130 (puerto utilizado de modo predefinido por Squid) ,especificando que no se almacenen en cach los objetos que ya estn presentes en el cach del Servidor Intermediario (Proxy) padre, utilice la siguiente lnea:
cache_peer 192.168.1.1 parent 8080 3130 proxy-only
Cuando se trabaja en redes muy grandes donde existen varios Servidores Intermediarios (Proxy) haciendo cach de contenido de Internet, es una buena idea hacer trabajar todos los cach entre si. Configurar caches vecinos como sibling (hermanos) tiene como beneficio el que se consultarn estos caches localizados en la red local antes de acceder hacia Internet y consumir ancho de banda para acceder hacia un objeto que ya podra estar presente en otro cach vecino.
Ejemplo: Si su cach va a estar trabajando en paralelo junto con otros caches, es decir caches hermanos, y considerando los caches tienen IP 10.1.0.1, 10.2.0.1 y 10.3.0.1, todos escuchando peticiones HTTP en el puerto 8080 y peticiones ICP en puerto 3130, especificando que no se almacenen en cach los objetos que ya estn presentes en los caches hermanos, utilice las siguientes lneas:
cache_peer 10.1.0.1 sibling 8080 3130 proxy-only
cache_peer 10.2.0.1 sibling 8080 3130 proxy-only
cache_peer 10.3.0.1 sibling 8080 3130 proxy-only
Pueden hacerse combinaciones que de manera tal que se podran tener caches padres y hermanos trabajando en conjunto en una red local. Ejemplo:
cache_peer 10.0.0.1 parent 8080 3130 proxy-only
cache_peer 10.1.0.1 sibling 8080 3130 proxy-only
cache_peer 10.2.0.1 sibling 8080 3130 proxy-only
cache_peer 10.3.0.1 sibling 8080 3130 proxy-only
Cach con aceleracin.
Cuando un usuario hace peticin hacia un objeto en Internet, este es almacenado en el cach de Squid. Si otro usuario hace peticin hacia el mismo objeto, y este no ha sufrido modificacin alguna desde que lo accedi el usuario anterior, Squid mostrar el que ya se encuentra en el cach en lugar de volver a descargarlo desde Internet.
Esta funcin permite navegar rpidamente cuando los objetos ya estn en el cach de Squid y adems optimiza enormemente la utilizacin del ancho de banda.
La configuracin de Squid como Servidor Intermediario (Proxy) Transparente solo requiere complementarse utilizando una regla de iptables que se encargar de re-direccionar peticiones hacindolas pasar por el puerto 8080. La regla de iptables necesaria se describe ms adelante en este documento.
Proxy Acelerado: Opciones para Servidor Intermediario (Proxy) en modo convencional.
En la seccin HTTPD-ACCELERATOR OPTIONS deben habilitarse los siguientes parmetros:
httpd_accel_host virtual
httpd_accel_port 0
httpd_accel_with_proxy on
Proxy Acelerado: Opciones para Servidor Intermediario (Proxy) Transparente.
Si se trata de un Servidor Intermediario (Proxy) transparente, deben utilizarse las siguientes opciones, considerando que se har uso del cach de un servidor HTTP (Apache) como auxiliar:
# Debe especificarse la IP de cualquier servidor HTTP en la
# red local o bien el valor virtualhttpd_accel_host 192.168.1.254
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
Proxy Acelerado: Opciones para Servidor Intermediario (Proxy) Transparente para redes con Internet Exlorer 5.5 y versiones anteriores.
Si va a utilizar Internet Explorer 5.5 y versiones anteriores con un Servidor Intermediario (Proxy) transparente, es importante recuerde que dichas versiones tiene un psimo soporte con los Servidores Intermediarios (Proxies) transparentes imposibilitando por completo la capacidad de refrescar contenido. Si se utiliza el parmetro ie_refresh con valor on puede hacer que se verifique en los servidores de origen para nuevo contenido para todas las peticiones IMS-REFRESH provenientes de Internet Explorer 5.5 y versiones anteriores.
# Debe especificarse la IP de cualquier servidor HTTP en la
# red local
httpd_accel_host 192.168.1.254
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
ie_refresh on
Lo ms conveniente es actualizar hacia Internet Explorer 6.x o definitivamente optar por otras alternativas. Mozilla es en un conjunto de aplicaciones para Internet, o bien Firefox, que es probablemente el mejor navegador que existe en el mercado. Firefox es un navegador muy ligero y que cumple con los estndares, y est disponible para Windows, Linux, Mac OS X y otros sistemas operativos.
Estableciendo el idioma de los mensajes mostrados por de Squid hacia el usuario.
Squid incluye traduccin a distintos idiomas de las distintas pginas de error e informativas que son desplegadas en un momento dado durante su operacin. Dichas traducciones se pueden encontrar en /usr/share/squid/errors/. Para poder hacer uso de las pginas de error traducidas al espaol, es necesario cambiar un enlace simblico localizado en /etc/squid/errors para que apunte hacia /usr/share/squid/errors/Spanish en lugar de hacerlo hacia /usr/share/squid/errors/English.
Elimine primero el enlace simblico actual:
rm -f /etc/squid/errors
Coloque un nuevo enlace simblico apuntando hacia el directorio con los ficheros correspondientes a los errores traducidos al espaol.
ln -s /usr/share/squid/errors/Spanish /etc/squid/errors
Nota: Este enlace simblico debe verificarse, y regenerarse de ser necesario, cada vez que se actualizado Squid ya sea a travs de yum, up2date o manualmente con el mandato rpm.Iniciando, reiniciando y aadiendo el servicio al arranque del sistema.
Una vez terminada la configuracin, ejecute el siguiente mandato para iniciar por primera vez Squid:
service squid start
Si necesita reiniciar para probar cambios hechos en la configuracin, utilice lo siguiente:
service squid restart
Si desea que Squid inicie de manera automtica la prxima vez que inicie el sistema, utilice lo siguiente:
chkconfig squid on
Lo anterior habilitar a Squid en todos los niveles de corrida.
Depuracin de errores
Cualquier error al inicio de Squid solo significa que hubo errores de sintaxis, errores de dedo o bien se estn citando incorrectamente las rutas hacia los ficheros de las Listas de Control de Acceso.
Puede realizar diagnstico de problemas indicndole a Squid que vuelva a leer configuracin, lo cual devolver los errores que existan en el fichero /etc/squid/squid.conf.
service squid reload
Cuando se trata de errores graves que no permiten iniciar el servicio, puede examinarse el contenido del fichero /var/log/squid/squid.out con el mandato less, more o cualquier otro visor de texto:
less /var/log/squid/squid.out
Ajustes para el muro corta-fuegos.
Si se tiene poca experiencia con guiones de cortafuegos a travs de iptables, sugerimos utilizar Firestarter. ste permite configurar fcilmente tanto el enmascaramiento de IP como el muro corta-fuegos. Si se tiene un poco ms de experiencia, recomendamos utilizar Shorewall para el mismo fin puesto que se trata de una herramienta ms robusta y completa.
Firestarter: http://www.fs-security.com/
Shorewall: http://www.shorewall.net/
Re-direccionamiento de peticiones a travs de iptables y Firestarter.
En un momento dado se requerir tener salida transparente hacia Internet para ciertos servicios, pero al mismo tiempo se necesitar re-direccionar peticiones hacia servicio HTTP para pasar a travs del el puerto donde escucha peticiones Squid (8080), de modo que no haya salida alguna hacia alguna hacia servidores HTTP en el exterior sin que sta pase antes por Squid. No se puede hacer Servidor Intermediario (Proxy) Transparente para los protocolos HTTPS, FTP, GOPHER ni WAIS, por lo que dichos protocolos tendrn que ser filtrados a travs del NAT.
El re-direccionamiento lo hacemos a travs de iptables. Considerando para este ejemplo que la red local se accede a travs de una interfaz eth0, el siguiente esquema ejemplifica un re-direccionamiento:
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
Lo anterior, que requiere un guin de cortafuegos funcional en un sistema con dos interfaces de red, hace que cualquier peticin hacia el puerto 80 (servicio HTTP) hecha desde la red local hacia el exterior, se re-direccionar hacia el puerto 8080 del servidor.
Utilizando Firestarter, la regla anteriormente descrita se aade en el fichero /etc/firestarter/user-post.
Re-direccionamiento de peticiones a travs de la opcin REDIRECT en Shorewall.
La accin REDIRECT en Shorewall permite redirigir peticiones hacia protocolo HTTP para hacerlas pasar a travs de Squid. En el siguiente ejemplo las peticiones hechas desde la zona que corresponde a la red local sern redirigidas hacia el puerto 8080 del cortafuegos, en donde est configurado Squid configurado como Servidores Intermediario (Proxy) transparente.
#ACTION
SOURCE
DESTPROTODEST
REDIRECTloc
8080tcp80
CONFIG DE PROXY
Trucos
Cmo configurar un servidor proxy.
Ledo 243833 veces Hasta la llegada de Windows 98 SE, si utilizaba Windows 95, la nica manera que haba de usar una mquina como proxy consista en instalar precisamente un software de proxy , como el popular Wingate. Las ltimas versiones de Windows, incluida Windows ME, ya pueden funcionar como proxy sin necesidad de software adicional. Este truco se aplica, por tanto, a versiones de Windows 98 SE (Second Edition) o posteriores.
1. En la mquina que actuar como proxy, deber asegurarse primero de que se han instalado los componentes para compartir la conexin a Internet. Abra el Panel de control.
2. Haga doble clic a continuacin sobre el icono Agregar o quitar programas.
3. Seleccione la pestaa Instalacin de Windows y luego espere mientras Windows busca componentes instalados.
4. Haga doble clic sobre el elemento Comunicaciones.
5. Se abrir una nueva ventana en la que se listan todos los componentes de comunicaciones que se instalaron cuando se instal Windows. Verifique, si no lo estaba, la casilla Conexin compartida a Internet. En caso de que estuviera verificada, deber ejecutar el asistente para Conexin compartida a Internet: si su sistema operativo es Windows ME, entonces deber seleccionar Inicio > Programas > Accesorios > Comunicaciones > Asistente para redes domsticas. Si se trata de Windows 98 SE, entonces en el Panel de control haga doble clic sobre el icono Opciones de Internet y en la pestaa Conexiones pulse el botn Compartir. Salte al paso 7.
6. Pulse el botn Aceptar. Dar comienzo la instalacin de ese componente. Es posible que durante el proceso se le pida el CD de instalacin de Windows, as que tngalo a mano.
7. Se ejecutar automticamente el Asistente para Conexin compartida a Internet. Siga las instrucciones que se indican en cada paso, que son muy sencillas. Se le preguntar el tipo de conexin que utilizar para acceder a Internet, as que especifique la suya, por ejemplo, mdem. Tambin se le pedir que introduzca un disquete para crear un disco de configuracin de cliente. Este disquete puede resultarle de utilidad posteriormente cuando tenga que configurar cada cliente para que acceda a Internet saliendo a travs del proxy, por lo que se le recomienda que efectivamente lo cree.
8. Cuando termine el proceso anterior, reinicie su sistema. En adelante aparecer un nuevo adaptador de red, denominado Conexin compartida a Internet. Tambin se habr instalado un servidor DHCP (Dynamic Host Configuration Protocol), cuya misin consiste en asignar dinmicamente una direccin IP al resto de ordenadores de su red. Esta caracterstica, adems de permitir que existan en el mundo ordenadores con la misma direccin IP, pero en redes LAN distintas, con el consiguiente ahorro en direcciones, sirve para aumentar la seguridad de su red, ya que solamente ser visible desde el exterior la direccin IP del proxy, pero no la del resto de equipos en la red interna.
VPN CONFIG
Ventajas de una VPN
La configuracin de una red privada virtual (VPN) garantiza que los equipos remotos se conecten a travs de una conexin confiable (Internet), como si estuvieran en la misma red de rea local.
Este proceso es utilizado por una variedad de compaas para permitir que los usuarios se conecten a la red cuando no se encuentran en el sitio de trabajo. Esta prestacin brinda una gran cantidad de usos posibles:
Acceso remoto y seguro a la red local (de la compaa) para los empleados mviles.
Archivos compartidos con seguridad.
Juegos en la red local con equipos remotos.
...
Configuracin de una VPN en Windows XP
Windows XP permite administrar desde en forma nativa las pequeas redes privadas virtuales. Esta prestacin es muy adecuada para las redes comerciales pequeas o para las familiares (tambin conocidas como Oficina pequea/Oficina domstica o SOHO (Small Office/Home Office)). Para configurar una red de este tipo, slo debe instalar un servidor de acceso remoto (servidor VPN) en su red de rea local al que pueda acceder desde Internet y configurar cada cliente para pueda accecer a la conexin.
Instalacin de un servidor VPN en Windows XP
Por ejemplo, supongamos que el equipo que se utilizar como servidor VPN en la red de rea local tiene dos interfaces: una para la red de rea local (una tarjeta de red, por ejemplo) y una para Internet (una conexin ADSL o por cable). Los clientes VPN se conectarn a la red de rea local mediante la interfaz conectada a la Web.
Para que este equipo pueda administrar redes privadas virtuales, slo debe abrir Conexiones de red en el Panel de control. Cuando se abra la ventana, haga doble clic en Asistente de conexin nueva:
Luego haga clic en Siguiente:
De las tres opciones de la ventana, seleccione "Establecer una conexin avanzada":
En la prxima pantalla, seleccione "Aceptar conexiones entrantes":
La pantalla siguiente muestra los dispositivos que puede seleccionar para una conexin directa. Es posible que no se tenga ningn dispositivo. A menos que sea necesario, no tiene que seleccionar uno en particular:
En la ventana siguiente, seleccione "Permitir conexiones privadas virtuales":
Aparece una lista de los usuarios del sistema; aqu slo debe seleccionar o agregar los usuarios que estn autorizados a conectarse al servidor VPN:
Luego seleccione la lista de protocolos autorizados a travs de la VPN:
Haga clic en el botn Propiedades asociado con el protocolo TCP/IP para definir las direcciones IP que el servidor asigna al cliente durante toda la sesin. Si la red de rea local en la que se encuentra el servidor no tiene una direccin especfica, puede permitir que el servidor determine automticamente una IP. Sin embargo, si la red tiene un plan de direcciones especfico, puede definir la serie de direcciones que ser asignada:
Ha completado la configuracin del servidor VPN. Ahora haga clic en el botn Finalizar:
Instalacin de un cliente VPN en Windows XP
Para permitir que un cliente se conecte al servidor VPN, debe definir todas las opciones de configuracin de la conexin (direccin del servidor, protocolos que sern utilizados, etc.). El asistente de conexin nueva disponible a travs del cono Conexiones de red en el panel de control permite llevar a cabo este procedimiento.
Luego haga clic en Siguiente:
De las tres opciones que brinda la ventana, seleccione "Conectar a la red de mi sitio de trabajo":
En la prxima pantalla, seleccione "Conexin de red privada virtual":
Luego ingrese un nombre que describa aqul de la red privada virtual a la que desea conectarse:
La prxima pantalla permite determinar si es necesario establecer una conexin antes de conectarse a la red privada virtual. En la mayora de los casos (si tiene una conexin permanente o acceso por ADSL o cable), no ser necesario este paso ya que el equipo estar conectado a Internet. De lo contrario, seleccione de la lista la conexin que desea establecer:
Para tener acceso al servidor de acceso remoto (servidor VPN u ordenador), debe especificar su direccin (IP o nombre del ordenador). Si no tiene una direccin IP, debe equiparlo con un sistema dinmico de asignacin de nombre (DynDNS) capaz de generar un nombre de dominio y especificarlo en el siguiente campo:
Una vez definida la conexin VPN, se abrir una ventana de conexin que solicita un nombre de inicio de sesin y una contrasea.
Antes de conectarse, debe definir algunas opciones de configuracin haciendo clic en el botn Propiedades en la parte inferior de la ventana. Un ventana con una cierta cantidad de fichas permite configurar la conexin en forma ms especfica. En la ficha Administracin de redes, seleccione el protocolo PPTP de la lista desplegable, seleccione el protocolo de Internet (TCP/IP) y haga clic en Propiedades:
La ventana emergente le permite definir la direccin IP que tendr el equipo del cliente cuando se conecte al servidor de acceso remoto. As podr asignar direcciones en forma coherente con las direcciones remotas. En consecuencia, el servidor VPN puede operar como servidor de DHCP, es decir, puede proporcionar al cliente VPN una direccin vlida en forma automtica. Para ello, seleccione la opcin "Obtener una direccin automticamente":
En el caso de que un cliente use el DHCP, siempre que el servidor asigne una direccin IP interna, el cliente se conectar a la red del sitio de trabajo y podr acceder a sus servicios, pero ya no tendr acceso a Internet a travs de la interfaz utilizada ya que la direccin IP no es enrutable. Para que el cliente pueda conectarse a la red VPN y tambin pueda acceder a la Web a travs de esta conexin, el servidor VPN debe configurarse de modo que comparta su conexin. El botn Opciones avanzadas le permite al cliente utilizar la puerta de enlace del servidor VPN en caso de que ste comparta su conexin:
Para configurar la conexin de la red VPN, los firewalls intermediarios y, en especial, el firewall nativo de XP, deben configurarse de modo que sea posible establecer la conexin. Por lo tanto, debe desactivar el firewall de Windows XP de la siguiente manera:
1. En el panel de control, haga clic en Conexiones de red,
2. Haga clic con el botn derecho en la conexin que usa,
3. Seleccione la ficha Opciones avanzadas,
4. Asegrese de que la opcin Firewall de conexin a Internet est desactivada.